Google Chrome’da kritik önem derecesine sahip bir sıfır gün güvenlik açığı keşfedildi ve yaygın bir istismarın gözlemlenmesinin ardından acil bir Chrome 116 güvenlik güncellemesinde yama uygulandı.
Güvenlik açığı “WebP’de yığın arabellek taşması” olarak bildirildi. Yığın arabellek taşmaları, bir uygulama bir bellek arabelleği için arabelleğin tutabileceğinden daha fazla veri yazdığında meydana gelir; bu, uygulamanın çökmesine neden olarak rastgele kod yürütme olasılığına yol açabilir. Bu arada WebP bir resim formatı “Bu, Web’deki görüntüler için üstün kayıpsız ve kayıplı sıkıştırma sağlar”; bu, Web geliştiricilerinin bunu, JPEG ve PNG formatlı görüntülere kıyasla daha küçük ve daha zengin görüntüler oluşturmak için kullanabileceği anlamına gelir. Bu da Web’in daha hızlı çalışmasına olanak tanır. WebP görüntüleri aşağıdakiler tarafından desteklenir: en modern tarayıcılarChrome, Firefox, Safari, Edge ve Opera gibi.
Sorun, Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve casus yazılım gözlemcisi The Citizen Lab tarafından 6 Eylül’de bildirildi ve Google, bu haftaki danışma belgesinde hatanın kötüye kullanıldığının farkında olduğunu bildirdi: CVE-2023-4863 olarak izlendi – vahşi doğada mevcut. Aktif kampanyaların niteliği hakkında ayrıntılı bilgi verilmedi.